見えない脆弱性がもたらすリコールリスク:より安全なSDVのための戦略

2025年5月21日
VicOne
見えない脆弱性がもたらすリコールリスク:より安全なSDVのための戦略

By Ling Cheng (Marketing Director)

ソフトウェアの脆弱性を管理するための現在の方法が、いまだにリコールのリスクを抱えていることをご存知ですか?これは、多くの脆弱性の詳細が未公開のままであるか、長い時間を経て初めて公式に明らかにされるためです。このギャップにより、ゼロデイ脆弱性を悪用した攻撃からはシステムを防御することが不可能だと言われています。

ゼロデイ脆弱性とは?

ゼロデイ脆弱性とは、世間に広く知られる前に知り得た攻撃者のみが悪用できる、隠れた高リスクの脅威です。ゼロデイ攻撃が予期せず発生し、解決策がない場合、企業は費用のかかるリコールや深刻な風評被害に直面する可能性があります。たとえば、ある自動車メーカーは攻撃を受けて140万台のリコールを余儀なくされ、1億500万米ドルの罰金を科されるという事がありました。

ゼロデイ脆弱性への対処は非常に困難であり、脅威は以下の3つの主要なシナリオに起因します。

  • 攻撃者は脆弱性を知っていますが、他の誰も知りません。
  • 攻撃者はこの脆弱性を知っていますが、内部関係者やダークウェブユーザーのごく一部の者しか知りません。
  • 攻撃者はこの脆弱性を知っていますが、被害を受けた企業はまったく知らないままです。

これらが示す事は、ゼロデイ脆弱性は未知の脆弱性であるため、解決策がないということです。その結果、ゼロデイ攻撃は成功率が高く、企業にとって壊滅的な結果をもたらす重大なリスクとなります。

ゼロデイ脆弱性は現実的かつ増大する脅威

2024年に開催されたVicOneとTrend Zero Day Initiative™(ZDI)の自動車脆弱性発見コンテストPwn2Ownの第1回では、リサーチャーがわずか3日間で49件のゼロデイ脆弱性を発見しました。注目すべき発見には、以下のような脆弱性が含まれています。

2025年版Pwn2Own Automotiveでは、3日間で49件のゼロデイ脆弱性がリサーチャーによって発見されました。

しかし、これらのリスクの高い脆弱性は、NIST(米国立標準技術研究所)が公開している脆弱性データベースNVD(National Vulnerability Database)には含まれていません。自動車業界の閉鎖的な性質により、多くの脆弱性の詳細がNVDに報告されないばかりか、その詳細が公開されることもなく、セキュリティギャップが一般の認識から隠されたままになっています。既知の脆弱性だけに注目することは、今日のSDV(ソフトウェア・デファインド・ビークル)エコシステムにおける進化するリスクに対処するにはもはや十分ではありません。

図 1.ソフトウェアセキュリティリスクに対処するために現在最も一般的に使用されている方法

図 1.ソフトウェアセキュリティリスクに対処するために現在最も一般的に使用されている方法

ゼロデイ脆弱性情報の統合

VicOneのxZETAは、既知のオープンソースの脆弱性だけに対応する脆弱性管理プラットフォームとは対照的に、ゼロデイ脆弱性、未公開脆弱性、既知の脆弱性、CWE(Common Weakness Enumeration)、標的型サイバー攻撃(APT)*、ランサムウェア*に対する優れた可視性を提供します。VicOneの脅威インテリジェンスは、NVDがカバーしている範囲を189%上回り、より広範な検出範囲を提供します。

図2.VicOneのxZETAは、NVDよりも189%高い視認性で最高のカバレッジを提供します。

図2.VicOneのxZETAは、NVDよりも189%高い視認性で最高のカバレッジを提供します。

VicOne では、ゼロデイ脆弱性が自動車業界に与える重大な影響を十分に理解しています。AIを活用したゼロデイ特定リサーチ、ダークウェブ監視、脆弱性取得とインテリジェンス共有、自動車脆弱性発見コンテストなど、積極的かつ包括的な戦略を採用し、これらの脅威を発見して対処しているのはそのためです。このような取り組みにより、VicOneの自動車サイバーセキュリティソリューションにおけるリーダーシップと、進化し続ける脅威の中でコネクテッド・ビークルを保護するための揺るぎないコミットメントが強化されます。



*特許出願中

リソースからもっと知る

自動車サイバーセキュリティの理解を深める

  • 2025年に向けたギアチェンジ:次世代の自動車サイバーセキュリティにおける課題
    ブログ
    2025年6月2日
    AI、EV、SDV が自動車業界を変革する中、サイバー脅威も同様に進化しています。VicOne の 2025 年の自動車サイバーセキュリティレポートを参考にし、この記事では、業界の脅威の展望に関する重要な洞察と、自動車メーカーが先手を打つために必要な戦略の概要をご紹介します。
    続きを読む
  • シングルSTM32ボードを使用したRAMNの再現
    ブログ
    2025年5月26日
    たった1枚のSTM32ボードを使用して、本格的なRAMN(Resistant Automotive Miniature Network)のコア機能を再現することは、高度なインビークル・ネットワーキングに取り組むための実用的でコスト効率の高い方法です。このハンズオンガイドでは、エンジニアやリサーチャーが最小限のハードウェアで弾力性のある車載通信システムを試作できるように、ステップ・バイ・ステップのセットアップを実行します。
    続きを読む
  • 見えない脆弱性がもたらすリコールリスク:より安全なSDVのための戦略
    ブログ
    2025年5月21日
    従来の脆弱性管理プラットフォームには、増加するゼロデイ脆弱性のリスクについては見落としてしまうセキュリティ上のギャップがどうしても生まれてしまっていました。VicOneの脆弱性&SBOM管理ツール、xZETAがどのように脆弱性の可視性を高め、新たな脅威に先手を打つことを支援できるかを紹介します。
    続きを読む
  • LockBitランサムウェアグループのデータ流出:自動車のサイバーセキュリティへの示唆
    ブログ
    2025年5月21日
    最近起きたLockBit(ロックビット)ランサムウェアグループの内部データ流出により、グループのチャットのやり取りが公開され、被害者がどのように標的とされ、恐喝されたかを知る貴重な内部情報が得られました。攻撃された被害者の中には、自動車関連企業の名前が目立ちます。その主な調査結果を紹介し、LockBit攻撃や類似のインシデントを阻止するために自動車関連企業が講じることのできる実践的な対策を概説します。
    続きを読む
ブログを読む

自動車業界のお客さまのサイバーセキュリティを加速させるために

デモの依頼